该死,又中了 Watchdog 改版挖矿病毒

2019-11-22 15:49:31 +08:00
 saytesnake
阿里云上的一台 ECS 上今早中了经典的 Watchdog 挖矿脚本,看起来似乎是跟最近的 Apache Solr 漏洞有关,早前 base64 解码定时任务脚本,脚本上有黑客留下的邮箱,大致就是说你很烦恼的话就发邮件给他,他会提供清理脚本。

这个脚本是有用的,不过今天遇到的这个,似乎改变了病毒运行的方式,在 ssh 登陆的时候就立马执行。

我现在 ssh 到这台 ECS,屏幕上就显示:

sed: cannot rename /etc/sedXU4lJe: Operation not permitted
sed: cannot rename /etc/sedIM7XCe: Operation not permitted
curl: (35) SSL connect error
bash: line 1: wget: command not found

然后才到正式登陆到系统

我是把拉病毒的在线粘贴板用 iptables 屏蔽了,还给 hosts 文件加了锁,干脆又把 wget 命令给干掉了,自然而然他的挖矿病毒就跑不起来了。

巡查了所有的定时任务 cron 及 ld.preload 相关的文件,都清理干净了,不过这个登陆即运行的设置估计是丢在.bashrc 或.bash_profile,果不其然,干掉,一切恢复正常。

有用到 Apache Solr 的,还是升级到最新版吧,很烦。话说黑客写的 shell 真的是考虑得十分周全,期待下一次来个 rootkit...

相关: https://developer.aliyun.com/article/725472
2526 次点击
所在节点    程序员
7 条回复
wiewiewie
2019-11-22 15:58:32 +08:00
谢谢 提醒 我们业务 没用到 Apache Solr。
Latin
2019-11-22 16:09:30 +08:00
不严谨,不是 watchbog 吗 手动狗头
saytesnake
2019-11-22 16:19:52 +08:00
@Latin 是的,是 watchbog,哈哈..
BlackZhu
2019-11-22 16:20:28 +08:00
在? 你就是艾登皮尔斯?
saytesnake
2019-11-22 16:24:20 +08:00
@BlackZhu 不是...话说 V2 有编辑已发布帖子的功能吗?晕倒
bg9ega
2019-11-22 16:28:17 +08:00
我也遇到过,CPU 跑满了,删掉又会重新下载,实在没办法干掉 wget 解决了。。。
Vhc001
2019-11-22 16:29:34 +08:00
> 脚本上有黑客留下的邮箱,大致就是说你很烦恼的话就发邮件给他,他会提供清理脚本。

良心,良心!

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/622160

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX